Uno de los errores más comunes y críticos en la programación web susede en el momento del diseño de estructuras de acceso de usuarios o comúnmente conocidas "Login Pages". Es aquí donde se ingresa la información sensible, es la puerta al sitio que queremos vulnerar y es un método para entrar sin que nadie se de cuenta.
A pesar de su criticidad los ataques por aprovechamiento de Broken Authentication son elevados, así lo afirma OWASP al incluirlos en el puesto número 7 de su TOP10.
¿Qué podemos hacer al respecto? Primero, entender en que consiste.
Un ataque por broken authentication se basa en el error de los métodos de protección de una determinada página, en la cual, por definición de vulnerable, se emplean malos hábitos para la gestión del acceso a un área en particular, dichos errores pueden ser la utilizacion de métodos GET en lugar de POST, la no-utilizacion de SSL, el no cifrado de los session-id, el permitir _e_interpretar_como_correctos_ parámetros malformados por un atacante, etc, etc, etc...
Aquí les dejo un video con el ejemplo de como realizar una vulnerabilidad por Broken Authentication (No es casualidad que tenga este archivo aquí y ahora, el verlo inspiro este post).
¿Como prevenirlo? Leamos lo que nos recomiendan los que saben. Link a Recomendaciones de OWASP.
Saludos,
Thursday, January 15
Broken Authentication attack
Etiquetas:
OWASP,
Seguridad Web
Subscribe to:
Post Comments (Atom)
0 comentarios:
Post a Comment